Postmodern Studio/Shutterstock.com
A Kaseya, uma empresa de tecnologia corporativa, é a mais recente vítima de ransomware malicioso. A empresa confirmou que aproximadamente 1.500 empresas foram afetadas pelo ataque no fim de semana de 4 de julho, embora os invasores digam que já afetaram mais de um milhão de computadores.
Os invasores aparentemente realizaram um ataque de ransomware na cadeia de suprimentos explorando (naturalmente) uma vulnerabilidade anteriormente desconhecida no software VSA da empresa contra seus clientes e vários provedores de serviços gerenciados. O VSA é o software de monitoramento e gerenciamento remoto da empresa usado para gerenciar e atualizar terminais (como PCs ou caixas registradoras).
“Até o momento, temos conhecimento de menos de 60 clientes da Kaseya, todos usando o produto VA local, que foram diretamente comprometidos por esse ataque. Embora muitos desses clientes forneçam serviços de TI para várias outras empresas, entendemos que o impacto total até agora foi para menos de 1.500 empresas de downstream. Não encontramos evidências de que nenhum de nossos clientes SaaS tenha sido comprometido", afirmou Kaseya em uma atualização.
O ataque foi lançado inicialmente na sexta-feira, 2 de julho. A Kaseya lançou uma Ferramenta de Detecção de Comprometimento para os clientes no dia seguinte, que analisaria servidores e terminais para ver se foram detectados indicadores de comprometimento. No domingo, 4 de julho, os atores pediram US$ 70 milhões em Bitcoin em troca de sua ferramenta universal de descriptografia. No dia seguinte, a Kaseya anunciou um patch para clientes locais, que deve ser lançado dentro de 24 horas após seus servidores SaaS ficarem online novamente.
No fim de semana, a Kaseya se reuniu com o FBI e a CISA para discutir medidas de segurança, como sistemas e requisitos de proteção de rede. A empresa também observou: “Um conjunto de requisitos será publicado antes do reinício do serviço para dar aos nossos clientes tempo para implementar essas contramedidas em antecipação ao retorno ao serviço em 6 de julho".
Os servidores da Kaseya permaneceram offline dias após o ataque, o que impactou empresas notáveis como a Coop, uma franquia sueca de supermercados com mais de 800 lojas cujas caixas registradoras foram quebradas. A Kaseya diz que fornecerá detalhes adicionais do ataque e manterá os clientes a par dos esforços de segurança e um cronograma completo de restauração à medida que avançam.
via ZDNet